Логотип Эхо
На главную
Логотип Эхо
Новости
Передачи
Мнения
Документы
Персоны
Встречи
Эхо Книги
Архив Эха Москвы
Поддержать
Купить мерч «Эха»:
В ЕвропеВ США и Канаде
Поддержать
На главную

Эльдар Муртазин, Илья Сачков, Владимир Иванов - Интервью - 2011-12-04

04.12.2011
Эльдар Муртазин, Илья Сачков, Владимир Иванов - Интервью - 2011-12-04 Скачать

А.ПЛЮЩЕВ: Московское время 23 часа 7 минут, у микрофона Александр Плющев, здесь же Саша Белановский.

С.БЕЛАНОВСКИЙ: Добрый вечер.

А.ПЛЮЩЕВ: Добрый вечер. И это такой экстренный выпуск программы «Точка». Сегодня, как вы знаете, не работал практически весь день сайт «Эха Москвы». Сейчас потихоньку он восстанавливается – я знаю, что не у всех он до сих пор открывается, но надеюсь, что со временем это произойдет. Не только радиостанция «Эхо Москвы» подверглась DDOS-атаке (а именно она стала причиной отказа в работе). Также и сайты некоторых других СМИ как то «The New Times», «Коммерсантъ», «Большой город».

С.БЕЛАНОВСКИЙ: И не только СМИ. Еще Живой Журнал сегодня тоже периодически вообще пропадал.

А.ПЛЮЩЕВ: И, конечно же, ассоциация «Голос» наблюдателей за выборами – сегодня они не работали. И мы решили вот эти полчаса, уже практически 20 минут оставшихся посвятить первому разбору ситуации и дать вам отдохнуть от аналитики, связанной с выборами, с одной стороны. С другой стороны, разобраться, что же произошло, и, может быть, как с этим жить в дальнейшем. У нас будет несколько экспертов по телефону. Вначале Владимир Иванов, главный специалист компании «Яндекс» по безопасности. Володь, добрый вечер.

В.ИВАНОВ: Добрый вечер.

А.ПЛЮЩЕВ: Прежде всего, поскольку как всегда находятся скептики, которые не верят, прежде всего, была ли DDOS-атака и насколько она была велика, вот, по твоим оценкам, по вашим оценкам, по яндексовским?

В.ИВАНОВ: DDOS-атака была. По известным мне оценкам в ней принимало участие от 100 до 200 тысяч зараженных компьютеров одновременно.

А.ПЛЮЩЕВ: Это много или мало? Чтобы было понятно. Ну, допустим, в сравнении с известными DDOS-атаками на Живой Журнал предыдущими.

В.ИВАНОВ: Это не очень мало, но можно сказать, что, скажем так, это немного выше среднего.

С.БЕЛАНОВСКИЙ: По интенсивности как-то атаки, которые сегодня производились, они отличались от того, что мы видели раньше?

В.ИВАНОВ: Нет, я бы сказал, что, в общем, это достаточно... Для ботнета, для зараженной сети такого размера это достаточно (НЕРАЗБОРЧИВО) проявление.

С.БЕЛАНОВСКИЙ: А есть какие-то признаки, что это было, грубо говоря, осуществлялось из какого-то единого центра? Или невозможно это установить?

В.ИВАНОВ: Ну, в каком смысле? Понятно, что все атаки такого рода координируются из единого центра. Суть DDOS-атаки состоит в том, что большое количество компьютеров, управляемых неким одним оператором, одновременно выполняют какие-то действия по отношению к сайту. Ну, например, запрашивают его главную страницу или страницу поиска, что бывает часто. И таким образом сайт одновременно становится перегружен запросами и плохо отвечает пользователям.

А.ПЛЮЩЕВ: Появились версии, что не только DDOS-атака, но и вообще возросший интерес к информации о выборах стал причиной того, что сайты легли (я сегодня видел такие мнения). Как ты думаешь, могла ли возросшая активность пользователей стать причиной того, что сайты не выдержали.

В.ИВАНОВ: Ну, конечно, могла. Я думаю, что речь о том, что... Наверняка, количество пользователей в этот день на сайтах увеличилось, хотя я полагаю, что одновременно... Ну, маловероятно, что на сайтах был всплеск посещаемости такого размера, что это одно привело бы к нарушению работы сайта. Скорее всего, все-таки, какие-то другие факторы тоже на это повлияют.

А.ПЛЮЩЕВ: Но в комплексе с DDOS-атакой могло быть.

В.ИВАНОВ: Например, да.

А.ПЛЮЩЕВ: Да. И сколько может стоить заказ, организация такой DDOS-атаки?

В.ИВАНОВ: По моим оценкам... Я, конечно, не покупаю, не продаю DDOS-атаки, но по моим оценкам ботнет такого размера стоит не очень дорого – это единицы тысяч долларов.

А.ПЛЮЩЕВ: То есть до 10 тысяч долларов, если я правильно понимаю?

В.ИВАНОВ: Ну, может быть, до 20-ти. Но в каких-то таких пределах. Скорее, до 10-ти, но, возможно, до 20-ти.

А.ПЛЮЩЕВ: Владимир Иванов, главный специалист компании «Яндекс» по безопасности. И еще, может быть, несколько вопросов. Кстати, вы успеваете задать вопрос, пожалуйста, SMS +7 985 970-45-45, твиттер, аккаунт @vyzvon – вы все их прекрасно знаете.

Теперь по поводу... Вот уже Саша спрашивал насчет единого центра, потому что появились разные версии. Точнее, я слышал одну, честно говоря, версию о том, кто может за этим стоять. Можно ли как-то по характеру атаки понять, кто может за ней стоять? И вообще каким образом это вычисляется?

В.ИВАНОВ: Ну, я не специалист в области расследования подобных вещей. Могу прокомментировать исключительно техническую составляющую этого вопроса. Как правило, хороший способ расследовать эту атаку – это найти во время атаки один из компьютеров, который принимает в ней участие, ну, банально найти того ничего не подозревающего пользователя, у которого дома на его домашнем компьютере установлен такой зловредный код, который превращает его в члена ботнета, и в этот момент попытаться выяснить, откуда этот ботнет получает команды. Ну, то есть существует где-то, как правило, в интернете, откуда все эти компьютеры получают команды о том, что да, необходимо, например, атаковать конкретный сайт. После этого можно попытаться выяснить, кто управляет этим центральным сервером, ну а там уже необходимо понять, кто заказчик.

А.ПЛЮЩЕВ: Ну и последний, наверное, вопрос. Это что делать в дальнейшем сайтам, поскольку выборы у нас, видимо, не последние, и ситуации у нас, похоже, такие не последний раз возникают не только у «Эха Москвы», но и у других СМИ, у других сайтов. Есть ли какие-то универсальные рецепты, чтобы если не уберечься, то снизить уровень проблемы в связи с DDOS-атаками?

В.ИВАНОВ: Ну, я бы сказал, универсальных рецептов, наверное, нет, но можно предпринять несколько шагов, которые исключительно технологические, которые позволяют повысить устойчивость сайта. Это или настройка программного обеспечения на самом сайте для оптимизации к высоким нагрузкам и постоянный мониторинг, именно ожидание этой атаки и своевременная реакция – они зачастую могут достаточно эффективно помочь если не полностью предотвратить последствия... Потому что, конечно, в неподготовленной ситуации с такой волной бороться сложно. Но если быть к этому готовым, то, во всяком случае, снизить влияние системный администратор может всегда или почти всегда.

А.ПЛЮЩЕВ: Правильно я понимаю, что все, что ты делаешь с помощью этих вещей, которые ты назвал, это повышаешь стоимость атаки?

В.ИВАНОВ: Да, безусловно. То есть задача владельцев сайта атакуемого, ну, собственно, так же, как и везде, как на войне – надо сделать так, чтобы атака была дороже, чем то, что противник получит в конечном итоге.

А.ПЛЮЩЕВ: Спасибо большое. Владимир Иванов, главный специалист компании «Яндекс» по безопасности, мы говорим о сегодняшних DDOS-атаках, это экстренный выпуск программы «Точка». Не расходитесь – через пару минут после свежих новостей продолжим.

НОВОСТИ

А.ПЛЮЩЕВ: Продолжаем экстренный выпуск программы «Точка», говорим про DDOS-атаки, с вами Александр Белановский и Александр Плющев, еще раз добрый вечер.

С.БЕЛАНОВСКИЙ: Сейчас у нас по телефону будет генеральный директор Group-IB Илья Сачков. Мы свяжемся чуть-чуть попозже с Эльдаром Муртазиным, а сейчас у нас на связи Илья Сачков. Илья?

И.САЧКОВ: Да.

С.БЕЛАНОВСКИЙ: Да. Ну, собственно, давайте поговорим... Поскольку вы, я так понимаю, эксперт в области расследований киберпреступлений, вот, расскажите, пожалуйста, в принципе, такие DDOS-атаки и подобные преступления – они вообще имеют перспективы быть раскрытыми?

И.САЧКОВ: Конечно. Технически любую, там, с 90%-ной вероятностью любую DDOS- или DOS-атаку можно найти человека, который стоит за нажатием кнопки в панели управления. Проблема с правовым сопровождением этого вопроса. В этом году первый раз за историю российского права удалось привлечь к ответственности заказчика DDOS-атаки и исполнителя, но это было настолько сложно как будто через 7 кругов ада...

С.БЕЛАНОВСКИЙ: А в чем сложность состоит?

И.САЧКОВ: Сложность – в законодательстве. Сложность в том, что у нас 3 статьи, которые отвечают за компьютерную преступность – это 28-я глава УК, 272-я, 273-я статья. И если... Ну, самый простой пример я приведу и станет понятно, как обстоят дела с DDOS-атаками. За DDOS-атаки за историю российского права люди привлекались к ответственности менее 10 раз. Господин Аникин, который доказанно украл 10 миллионов долларов у РБС-банка, он получил по российскому праву 5 лет условно. Соответственно, DDOS-атаки с точки зрения ущерба – они никаким образом не рассчитываются. То есть нету судебной практики, нету правовой практики, как рассчитывать ущерб по DDOS-атаке. Вот, если человек крадет 10 миллионов долларов, по компьютерным преступлениям получает 5 лет условно, по DDOS-атакам становится все ясно.

Президент Медведев создал проект закона об изменении поправок в Уголовный кодекс. Эти поправки коснулись как раз этой 28-й главы, и они прошли без согласования со всем экспертным сообществом, без согласования с людьми, которые занимаются расследованием в правоохранительных органах, без согласования с комитетом по безопасности Государственной Думы. В итоге мы получаем то, что 272-я статья потеряла квалификацию, как раз позволяющую людей привлекать по 272-й статье. Там была такая квалификация, квалифицирующий признак «Нарушение работы ЭВМ, системы ЭВМ либо их сети», то есть неправомерный доступ к компьютерной информации. И 273-я статья – тоже чуть-чуть изменился закон. В общем, как ни странно, несмотря на то, что президент активно встречался с интернет-сообществом и говорили о проблемах, связанных с расследованием компьютерных преступлений, новый Уголовный кодекс сделает жизнь злоумышленников гораздо проще. Самое смешное, что особо крупный ущерб, ну, крупный ущерб считается 1 миллион рублей. По новому Уголовному кодексу штраф по 272-й статье максимальный – 500 тысяч рублей (это часть 3-я), и по 274-й – это 500 тысяч рублей. То есть если человек доказанно приносит ущерб либо ворует 1 миллион рублей, максимально ему грозит ответственность с точки зрения финансовой это штраф в 500 тысяч рублей.

С.БЕЛАНОВСКИЙ: Илья, еще один вопрос. Вы как человек, который часто с подобным сталкивается, скажите, кто, все-таки, чаще выступает заказчиком? Это какие-то частные лица? Или же, все-таки, это какие-то структуры?

И.САЧКОВ: Я думаю, что если говорить об атаках сегодняшнего дня, то, естественно, это политика. Никому не нужно из частных лиц подобные вещи. Посредником может быть, конечно, частное лицо, ну, корни уходят в политику. То есть, скорее всего, за заказом данных атак стоят политические партии. И что странно для меня, что технически атаки, которые были сегодня, они были очень простые. То есть по сигнатурам атаки это, ну, как говорят эксперты, такие, достаточно школьные атаки. Эксперты, которые защищают интернет-ресурсы, они должны были догадаться, что сегодня, возможно, будет какая-то нагрузка нестандартная.

А.ПЛЮЩЕВ: Илья, у меня вот какой вопрос. Правильно ли я понимаю, что, несмотря на то, что найти заказчиков этого дела или, по меньшей мере, там я не знаю, исполнителей, как вы говорите, легко, никто найден, на самом деле, не будет. Ну, просто по практике.

И.САЧКОВ: Я с вами полностью согласен. То есть можно будет найти, можно будет указать на конкретные фамилию, имя и отчество, но к ответственности такого человека, скорее всего, я по своей практике скажу не привлекут.

А.ПЛЮЩЕВ: Значит ли это, что, в общем, и рыпаться не нужно?

И.САЧКОВ: Нет, не значит. Ну, то есть тут уже...

А.ПЛЮЩЕВ: Ну, то, что вы описываете, это, знаете, потеря времени и сил. Ну, то есть если бы сейчас меня спросили, что я понял из ваших с Владимиром Ивановым слов, что я вынес, я бы вынес то: надо усиливать запас безопасности и защиту и не париться с правоохранительными органами, они все равно никого не найдут и все равно никого не прижмут. А если даже найдут и прижмут, им ровным счетом ничего не грозит.

И.САЧКОВ: С точки зрения вашей позиции вы правы, но я бы, все-таки, обращался в правоохранительные органы, чтобы у них не было неправильной как минимум статистики, чтобы не говорили, что в России с DDOS-атаками все хорошо, с компьютерной преступностью тоже все в порядке, все под контролем. Как минимум с этой целью.

Все-таки, раз в год, там, 2 раза в год какие-то красивые дела происходят. Но я считаю, что, конечно, нужно в первую очередь думать о защите, потом уже думать сейчас уже о наказании. Но вот эта гонка вооружений которая происходит, она людей заставляет... Вот как раз к этому люди и пришли, то, что они понимают, что их не найдут. И поэтому DDOS-атаки стоят такие копейки, то есть это 200-300 долларов за час. Поэтому этот рынок настолько открыто рекламируется. Из-за того, что люди понимают, что их не найдут, никто не будет их искать, а если даже найдут, то максимум, что они получат, это условное заключение либо какой-то штраф небольшой.

С.БЕЛАНОВСКИЙ: Спасибо большое. У нас в эфире был генеральный директор Group-IB Илья Сачков. Сейчас мы связываемся по телефону с ведущим аналитиком Mobile Research Group Эльдаром Муртазиным. Ну, вот, мы решили с нескольких сторон поговорить об этой проблеме, коротко с точки зрения экспертов в области кибератак, с точки зрения экспертов в области расследований киберпреступлений. Сейчас попробуем обсудить политическую сторону, никуда не деться.

А.ПЛЮЩЕВ: Или эмоциональную. Я не знаю, у нас сегодня с Эльдаром Муртазиным был в твиттере небольшой такой диалог, и я бы хотел его продолжить за оставшиеся 4 минуты. Эльдар, добрый вечер.

Э.МУРТАЗИН: Привет.

А.ПЛЮЩЕВ: Итак, я бы хотел просто, чтобы... У меня нет конкретного вопроса к тебе. Чтобы ты сказал точку зрения твою на сегодняшние DDOS’ы. Ты – человек очень уважаемый в IT-мире, и к твоему мнению прислушиваются. Пожалуйста. Тем более, что у тебя было какое-то такое...

С.БЕЛАНОВСКИЙ: Особое мнение.

А.ПЛЮЩЕВ: Ну, я бы не сказал критическое, ну да, особое мнение, окей.

Э.МУРТАЗИН: Я не знаю, о чем говорили, к сожалению, до этого. Я хотел бы сказать следующее. Что DDOS на сегодняшний день – это средство, которое стоит очень дешево, если мы говорим о сайтах СМИ. Второй момент, DDOS – это также бизнес-инструмент для конкуренции в сети, потому что стоит он копейки, по сути. То есть сегодняшний DDOS, который произошел, его можно оценить, ну, там, тысяча-две, 3 тысячи долларов на все сайты. И с технической точки зрения он осуществляется... Вот то, что я видел сегодня, это было настолько легко организовано, то есть это делали фактически дети, там ничего серьезного не было. Не претендую на всю полноту, то, что было видно со стороны. Проблема основная в двух вещах. Первая вещь. Те сайты, которые были под атакой, они не были готовы к этой атаке вообще никак. То есть такое ощущение, что об этом вопросе никто никогда не думал.

Далее. Если говорить о том, что любой сайт под нагрузкой, если это сайт СМИ, должен меняться, то есть должны отключаться картинки, скрипты, поиск и прочее, то этого не было сделано ни на сайте «Эха Москвы», ни на других сайтах.

Ну и в частности я хотел бы сказать следующее, что, к сожалению, DDOS сегодня – это такой варварский способ, чтобы кому-то заткнуть рот. Наш сайт, например, в 2008 году был под атакой ботнета 3 месяца. Причем, 3 месяца это было соревнование щита и меча. Как только мы открывали сигнатуры атакующих, то есть схему, по которой они атакуют, в течение дня-двух они перегруппировывались и снова клали сайт совершенно другим способом. То есть это происходило в течение 3-х месяцев до момента, пока я не нашел конкретного человека, который стоял за этим. И когда мы пришли, собственно говоря, со всеми данными, нам сказали, что юридически сделать ничего нельзя, а максимальная сумма, которую мы сможем добиться по суду (и это вряд ли мы добьемся) была порядка 15 тысяч долларов (что-то вот такое), хотя ущерб на тот момент, ну, точнее не ущерб, а наши затраты на защиту были намного больше.

То есть по факту на сегодняшний день, мне кажется, что значение DDOS’а переоценено для как раз-таки радиостанции «Эхо Москвы» по одной простой причине. Сайт является важной составляющей частью радиостанции, но эфир как был, так он никуда и не делся. Более того, твиттер, SMS, email – все это работало, и люди, которые хотели в онлайне слушать, они могли слушать на moskva.fm, они могли найти трансляцию в других местах.

А.ПЛЮЩЕВ: Эльдар, буквально одна минута осталась, поэтому очень маленький вопрос. Здесь его задавали нам на SMS, и я хотел бы, чтобы ты на него ответил. Смотри, имеет ли смысл развитие аккаунтов в СМИ в соцсетях, в таких как FaceBook или Вконтакте, потому что считается, что их труднее гораздо положить DDOS-атаками?

Э.МУРТАЗИН: Их не труднее положить. Более того, государство, если бы это было государство, оно могло бы отключать передачу данных в сторону той или иной сети. Но, безусловно, да, имеет способ, потому что вот от таких детских атак это защищает на раз-два-три, то есть вы можете распространять информацию разными каналами – это надо делать.

А.ПЛЮЩЕВ: Спасибо большое, это был Эльдар Муртазин, ведущий аналитик Mobile Research Group. Ну, вот, как смогли мы, чуть-чуть пока очень поверхностно проанализировали то, что происходило в течение сегодняшнего дня с DDOS-атаками. Александр Белановский.

С.БЕЛАНОВСКИЙ: Александр Плющев. Прощаемся с вами до воскресенья. Я надеюсь, у нас как всегда будет рядовой эфир.

А.ПЛЮЩЕВ: В 21 час.

С.БЕЛАНОВСКИЙ: После 21 часа. Счастливо.